26 հուլիսի, 2019 Google նվազեցնել SSL/TLS սերվերի հավաստագրերի առավելագույն վավերականության ժամկետը ներկայիս 825 օրից մինչև 397 օր (մոտ 13 ամիս), այսինքն՝ մոտավորապես կիսով չափ: Google-ը կարծում է, որ միայն սերտիֆիկատներով գործողությունների ամբողջական ավտոմատացումը կազատի անվտանգության ընթացիկ խնդիրներից, որոնք հաճախ վերագրվում են մարդկային գործոններին։ Հետևաբար, իդեալական դեպքում, պետք է ձգտել կարճատև վկայագրերի ավտոմատացված թողարկմանը:
Հարցը քվեարկության է դրվել CA/Browser Forum-ում (CABF), որը սահմանում է պահանջներ SSL/TLS վկայագրերի համար՝ ներառյալ գործողության առավելագույն ժամկետը:
Եվ հետո սեպտեմբերի 10-ին Կոնսորցիումի անդամները քվեարկել են против առաջարկություններ:
Արդյունքները
Վկայական թողարկողի քվեարկություն
Կողմ (11 ձայն)Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (նախկինում Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Դեմ (20)Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCATrustform, Trustwave)
Ձեռնպահ (2)HARICA, TurkTrust
Վկայական սպառողների քվեարկություն
(7)-ի համարApple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Դեմ: 0
Ձեռնպահ քվեարկեց: 0
Համաձայն CA/Browser Forum-ի կանոնների՝ վկայականը պետք է հաստատի վկայական թողարկողների երկու երրորդը և 50% գումարած մեկ ձայն սպառողների կողմից:
Digicert-ի ներկայացուցիչներ քվեարկությունը բաց թողնելու համար, որտեղ նրանք կքվեարկեին վկայականների վավերականության ժամկետի կրճատման օգտին։ Նրանք նշում են, որ որոշ հաճախորդների համար ավելի կարճ տեւողությունը կարող է խնդիր լինել, սակայն կան անվտանգության երկարաժամկետ առավելություններ:
Այսպես թե այնպես, արդյունաբերությունը դեռ պատրաստ չէ կրճատել հավաստագրերի վավերականության ժամկետը և ամբողջությամբ անցնել ավտոմատացված լուծումների։ Հավաստագրման մարմիններն իրենք կարող են առաջարկել նման ծառայություններ, սակայն շատ հաճախորդներ դեռ չեն իրականացրել ավտոմատացում: Ուստի ժամկետի կրճատումը մինչև 397 օր առայժմ հետաձգվում է։ Բայց հարցը մնում է բաց.
Այժմ Google-ը կարող է փորձել «բռնի կերպով» կիրառել ստանդարտը, ինչպես դա արեց արձանագրության դեպքում . Ավելին, այն աջակցվում է նաև այլ մշակողների կողմից՝ Apple-ը, Microsoft-ը, Mozilla-ն և Opera-ն:
Հիշենք, որ լիարժեք ավտոմատացումն այն սկզբունքներից մեկն է, որի վրա հիմնված է Let’s Encrypt ոչ առևտրային հավաստագրման կենտրոնի աշխատանքը։ Այն անվճար վկայականներ է տալիս բոլորին, սակայն վկայականի առավելագույն ժամկետը սահմանափակվում է 90 օրով: Վկայականներն ունեն կարճ ժամկետ :
- սահմանափակել վնասված բանալիների և սխալ տրված վկայականների վնասը, քանի որ դրանք օգտագործվում են ավելի կարճ ժամանակահատվածում.
- Կարճատև վկայագրերը աջակցում և խրախուսում են ավտոմատացումը, ինչը բացարձակապես անհրաժեշտ է HTTPS-ի օգտագործման դյուրինության համար: Եթե մենք պատրաստվում ենք ամբողջ Համաշխարհային ցանցը տեղափոխել HTTPS, ապա մենք չենք կարող ակնկալել, որ յուրաքանչյուր գոյություն ունեցող կայքի ադմինիստրատորը ձեռքով թարմացնի վկայականները: Հենց որ վկայականի տրամադրումը և նորացումը լիովին ավտոմատացված դառնան, վկայականի ավելի կարճ ժամկետները կդառնան ավելի հարմար և գործնական:
ցույց է տվել, որ հարցվածների 73,7%-ը «ավելի շուտ աջակցում է» վկայականների վավերականության ժամկետի կրճատմանը:
Ինչ վերաբերում է SSL սերտիֆիկատների EV պատկերակը հասցեագոտում թաքցնելուն, կոնսորցիումը չի քվեարկել այս հարցի շուրջ, քանի որ բրաուզերի UI-ի խնդիրն ամբողջությամբ ծրագրավորողների իրավասության մեջ է։ Սեպտեմբեր-հոկտեմբեր ամիսներին կթողարկվեն Chrome 77-ի և Firefox 70-ի նոր տարբերակները, որոնք EV սերտիֆիկատները կզրկեն բրաուզերի հասցեագոտում հատուկ տեղից։ Ահա թե ինչ տեսք ունի փոփոխությունը՝ օգտագործելով Firefox 70-ի աշխատասեղանի տարբերակը որպես օրինակ.
էր.
Կամք:
Անվտանգության փորձագետ Թրոյ Հանթի կարծիքով՝ բրաուզերների հասցեների տողից EV տեղեկատվության հեռացում .
Source: www.habr.com